数据恢复技术一

数据恢复技术1、为什么要学？1、信息化的今天，电子设备普及，数据量剧增。无论个人、公司、企业还是国家机关，都越来越依赖计算机系统。个人档案、文件、电子邮件、公司财务记录、销售合同、甚至国家机密等，无一不存储于计算机中，设想如果系统崩溃，硬盘故障，数据损失将会出现何种后果？形形色色的电子设备大家的疑惑？•电脑中的照片、电影、文件在硬盘内部是什么样的？如何组织的？噩梦般的经历多年收藏和积累的资料被感染病毒遭到破坏、丢失、打不开或者成为乱码？一不小心删除了照片或者重要文件，让你后悔莫及，损失惨重？怎么办？？？2、世界上没有完美无缺的人，同样也没有完美无缺的计算机和软件系统。3、硬盘有价，数据无价。4、病毒，如木马、病毒、蠕虫、以及恶意代码等几乎只要入侵了我们的系统，我们的系统面临前所未有的威胁，毫无抵抗能力，任由其毁坏数据、破坏系统或者控制系统。5、在遭遇不可预测的遭难时，比如说是系统瘫痪，服务器里的数据全被请除，如果不能恢复，那么这个公司将遭受灭顶之灾。如911事件发生后，金融机构聚集的世贸大厦里的大量数据化为乌有，这是对所有金融机构的重大挑战。纽约银行（BankofNewYork）在数据中心全毁，通讯线路中断后，在一个月后不得不关闭一些分支机构，数月后不得不破产清盘。一般情况下，计算机黑客或罪犯为了掩盖犯罪痕迹，常常会删除相应的作案记录或重要的系统文件，比如系统日志、注册表信息、上网历史记录、文件操作痕迹等等。为了找到指证线索和获取充分的法律证据，取证工作者往往就需要对那些已经被删除或被破坏的文件进行还原和恢复。对磁盘上存储的海量二进制信息进行提取、分析和重现的结果是否充分和正确，将直接影响到计算机取证整个过程的效率和电子证据的说服力，所以，数据恢复技术作为计算机取证系统的核心技术之一，其重要性和价值度越来越受到人们的认识和关注。我国发展现状我国的文件恢复技术发展是相对较晚的。文件恢复的概念是2000年左右才从欧美等发达国家传入国内的。由于当时Windows平台上主流的FAT文件系统或者NTFS文件系统都是由国外设计和实现的，而对于其中的原理和机制都不具备公开的文档说明，很多关键性技术都掌握在外国人手里。所以，我国的数据恢复技术先驱研究者是在艰难的起步条件下，从大量的研究和实践工作中起步和不断进取的。如今，对于传统的基于文件系统元信息的文件恢复技术，国内已经有了很多相关文献，取得了大量成果。参考书目：戴士剑，涂彦晖编著的《数据恢复技术-经典重现版》涂彦晖，戴士剑等人编著的《数据安全与编程技术》刘伟《数据恢复技术深度揭秘》案例•2004年3月15日，当因谋杀宿舍四位室友而亡命天涯的公安部A级通缉犯马家爵在海南省三亚市被捕时，谁又会想到，计算机取证技术在这次成功抓捕中起到了多么重要的作用？就在北方各省市纷纷报出马家爵被发现的假消息时，公安机关侦察人员已经通过计算机取证技术将搜查范围锁定在三亚了。当时，随着调查一步步地深入，侦察人员从其他渠道获悉，马家爵有一个特别的爱好——上网。于是，放在马家爵宿舍里的计算机很快地成为了众矢之的。侦察人员发现，这台旧电脑的硬盘竟然已被狡猾的马家爵格式化了三遍之多，尽管这样，取证人员还是运用专业软件将其数据进行了还原。经过对硬盘中存放的海量信息过滤，侦察人员发现马家爵在出逃前三天基本上都在搜集有关海南省的信息，特别是有关三亚的旅游、交通和房地产信息。预备知识一进制：二进制，十六进制。计算机中数据的单位：位，字节和字。预备知识二硬盘是用来存储数据的，为了使用和管理的方便，这些数据以文件的形式存储在硬盘上。任何操作系统都有自己的文件管理系统。扇区硬盘利用特定的磁粒子的极性来记录数据。在读取数据时，磁头将磁粒子的不同极性转换成不同的电脉冲信号，再利用数据转换器将这些原始信号变成电脑可以使用的数据。写数据时，正好与此相反。文件系统微软的文件系统主要有FAT、NTFS、ExFAT。其中FAT文件系统主要有FAT12、FAT16、FAT32三种类型。硬盘在存储数据之前，一般需经过低级格式化、分区、高级格式化这三个步骤之后才能使用。作用:是在物理硬盘上建立一定的数据逻辑结构，FAT32文件系统下一般将硬盘分为五个区域，分别为主引导记录区(MBR)、次引导记录区(DBR)、文件分配表区(FAT)、文件目录表区(FDT)和数据区。MBR主引导记录0柱面、0磁头、1扇区的主引导记录（MBR），该记录占用512个字节，它用于硬盘启动时将系统控制权转给用户指定的、在分区表中登记了某个操作系统分区。硬盘的主引导记录（MBR）是不属于任何一个操作系统的，它先于所有的操作系统而被调入内存，并发挥作用，然后才将控制权交给主分区（活动分区）内的操作系统，并用主分区信息表来管理硬盘。MBR主引导记录FAT32文件系统41235文件目录表分析文件删除原理及恢复文件分配表分析FAT32文件系统结构课后操作题1、FAT32文件系统结构1、FAT32文件系统结构FAT32文件系统由DBR及其保留扇区、FAT、FDT、DATA区四个部分组成，其结构如下图所示：（Dos引导记录DBR）DBR的组成。BPB作用。DBR由跳转指令、厂商标识和版本号、BPB、引导程序和结束标志5部分组成。记录着本分区的起始扇区、结束扇区、文件存储区格式、硬盘介质描述符、根目录大小、FAT个数、分配单元（AllocationUnit）的大小等重要参数。（1）跳转指令最开始即是一条跳转指令，让程序执行流程跳转到引导代码。（2）厂商标识和系统版本号这段数据占8个(03~0A)字节，其内容随系统版本不同而略有变化。（3）磁盘参数块磁盘参数块也称为BIOS参数块BPB(BIOSParameterBlock)。它从第12(0BH)个字节开始，占用52(0B~3E，FAT12/FAT16格式)或80(0B~5A，FAT32格式)个字节，各字节内容及地址分配如表2-6所示。表中记录了磁盘的每扇区字节数、磁头数、目录起始簇等重要信息，该部分的内容随磁盘类型的不同而变化。4(4)DOS引导程序这段引导程序通常称为DOS引导程序，其实，并非单指DOS操作系统，而是对各类操作系统进行初始引导的磁盘引导程序，即BOOT(自举)扇区。它占用448字节(3E~1FD)或420字节(5A~1FD)，负责完成相关操作系统初始系统文件的装入。(5)结束标志DBR的结束标志与分区表的结束标志相同，为“55AA，占用两个字节。以上5个部分共占用512个字节，正好是一个扇区，该扇区的内容除第5部分结束标志字固定不变外，其余4个部分都是不确定的，会根据操作系统的版本，安装的磁盘类型不同而变化。磁介质描述符(MediaDescription)表明磁盘介质，根据磁盘性质的不同取不同的值。通常的数据如表所示。4.2FAT32文件系统41235文件目录表分析文件删除原理及恢复文件分配表分析FAT32文件系统结构课后操作题2、文件分配表分析3.2、簇与FAT链簇(Cluster)为了便于管理，系统将磁盘划分为一个一个大小相等的块，这些块就被称为簇。一般情况下，FAT32中每簇占用4KB大小。FATDATA区簇0簇1簇2簇3簇4簇5簇n………………..3、文件分配表FAT分析FAT概念FAT（FileAllocationTable）：文件分配表，表示文件在硬盘中存储位置的登记表，是系统中文件的寻址系统。FAT不真正存储文件的内容。为了数据安全起见，FAT一般生成有两个，第二个FAT为第一个FAT的备份。FAT簇0簇1簇2簇3簇4簇5簇n………………..FAT1FAT20123456789101112131415161718192021222324…………nFAT表结构特点FAT表由FAT表项构成，每个FAT表项32位（4字节）。FAT前2簇为保留簇(簇0和簇1)，不分配给文件使用。文件的结束簇标记：一个FAT表项值表明了文件占用的一个簇号并指明下一簇号的位置。FFFFFF0FFAT簇0簇1簇2簇3簇4簇5簇n………………..0123456789101112131415161718192021222324…………n每簇大小4K文件A大小3K文件B大小9K结束标记45结束标记在磁盘上创建三个文件：swk.jpg、山东政法学院.txt、信科系简介.txt。FAT表分析簇2簇3簇0簇1簇4簇5簇6簇链簇链FAT表项与簇一一对应，系统在创建一个新文件时，会逐一扫描FAT，跳过己经分配的簇，将簇分配给文件，同时其簇号作为该文件的首簇号被记录到文件的目录项中。如果文件只需一个簇就可以存下，则首簇号对应的FAT表项中将存放文件最后一簇的标记(一般为FFFFFF0FH)。若文件大小大于一个簇，则系统会继续寻找FAT表中未分配的簇，找到后将该簇的簇号存到上一簇对应的FAT表项中。这样，上一个FAT表项就存放了下个簇的簇号，通过簇号找到文件的存放位置。这样就形成了一个链，称为FAT链，也称盘簇链。4.2FAT32文件系统41235文件目录表分析文件删除原理及恢复文件分配表分析FAT32文件系统结构课后操作题3、文件目录表分析FDT(FileDirectoryTable)文件目录表用FORMAT命令对磁盘进行格式化的时候，就已经为整个磁盘建立了一个根目录FDT。如下图格式化的磁盘。簇2•根目录下的所有文件及其子目录在根目录的文件目录表（FDT）中都有一个“目录项”。每个目录登记项占用32个字节，分为8个区域，提供有关文件或子目录的信息。其详细描述如下图所示:0123456789101112131415文件名扩展名属性XX创建时间16171819202122232425262728293031创建日期访问日期簇的高位字最后写时间最后写日期簇的低位字文件长度0123456789101112131415文件名扩展名属性XX创建时间16171819202122232425262728293031创建日期访问日期簇的高位字最后写时间最后写日期簇的低位字文件长度目录项目录项分析（文件名扩展名）012345678910111213141553574B20202020204A50472018938B3C文件名扩展名属性XX创建时间16171819202122232425262728293031BC42BC420000727AB8420700CD730000创建日期访问日期簇的高位字最后写时间最后写日期簇的低位字文件长度53H=8357H=874BH=7520H=324AH=7450H=8047H=71SWKJPG目录项分析（属性）012345678910111213141553574B20202020204A50472018938B3C文件名扩展名属性XX创建时间16171819202122232425262728293031BC42BC420000727AB8420700CD730000创建日期访问日期簇的高位字最后写时间最后写日期簇的低位字文件长度0010000020H属性：归档目录项分析（时间）012345678910111213141553574B20202020204A50472018938B3C文件名扩展名属性XX创建时间16171819202122232425262728293031BC42BC420000727AB8420700CD730000创建日期访问日期簇的高位字最后写时间最后写日期簇的低位字文件长度时间：文件创建时间精确到10ms的值。1470ms=1.47s93H目录项分析（时间）012345678910111213141553574B20202020204A50472018938B3C文件名扩展名属性XX创建时间16171819202122232425262728293031BC42BC420000727AB8420700CD730000创建日期访问日期簇的高位字最后写时间最后写日期簇的低位字文件长度时间：高5位为小时，次6位为分钟，最后五位记录秒，单位是2S，也就是值需要乘2。0011110